Управление Роскомнадзора по Калужской области
Управлением Роскомнадзора по Калужской области в период с 01.02.2017 по 01.03.2017 проведена плановая выездная проверка ГБУЗКО «Калужская областная клиническая больница».
По результатам проведения указанного мероприятия выявлены следующие нарушения:
1) ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: предоставление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения в части категорий обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, способов обработки персональных данных; срока или условий обработки персональных данных.
Исходя из обстоятельств, установленных в ходе проведения проверки, в частности, с учетом содержания личных дел сотрудников, информированных согласий на медицинское вмешательство, локальных актов ГБУЗКО «КОКБ» по вопросам обработки персональных данных обязанность по направлению указанных сведений возникла за пределами срока давности привлечения к административной ответственности, в связи с чем, дело об административном правонарушении по ст. 19.7 КоАП РФ не может быть возбуждено (ч.1 ст. 24.5 КоАП РФ).
2) ч.7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: информационное письмо в связи с изменением сведений, содержащихся в реестре операторов персональных данных в части указания сведений об ответственном за организацию обработки персональных данных, представлено несвоевременно.
Исходя из обстоятельств, установленных в ходе проведения проверки, в частности, обязанность по направлению сведений об изменении ответственного за организацию обработки персональных данных лица возникла за пределами срока давности привлечения к административной ответственности, в связи с чем, дело об административном правонарушении по ст. 19.7 КоАП РФ не может быть возбуждено (ч.1 ст. 24.5 КоАП РФ).
Нарушение устранено путем подачи информационного письма, отражающего сведения о лице, ответственном за организацию обработки персональных данных.
3) ст. 7, ч.1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: нарушение конфиденциальности персональных данных, непринятие необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ в связи с передачей ГБУЗКО «КОКБ» медицинской документации по месту нахождения страховых медицинских организаций.
4) ч.4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части обработки персональных данных, содержащихся в медицинской документации, после достижения целей обработки персональных данных и сроков, предусмотренных законодательством Российской Федерации.
5) ч. 3 ст. 6 Федерального закона № 152-ФЗ: отсутствие в поручении оператора (договоре), заключенном с ООО «Вега» (договор от 01.12.2016 оказания услуг), обязанности по соблюдению ООО «Вега» конфиденциальности персональных данных и обеспечению безопасности персональных данных при их обработке, а также требований к защите обрабатываемых персональных данных в соответствии со ст.19 указанного Федерального закона.
6) п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: осуществление хранения документов, содержащих персональные данные, в месте, не установленном для хранения персональных данных локальным актом ГБУЗКО «КОКБ».
7) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: хранение материальных носителей персональных данных в незапираемых шкафах/сейфах при возможности доступа лиц, не являющихся сотрудниками ГБУЗКО «КОКБ» в помещения, где хранятся материальные носители персональных данных, а также отсутствие локальных актов (документов), устанавливающих требования непосредственно к условиям хранения материальных носителей персональных данных.
8) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687: отсутствие внутренних локальных актов, закрепляющих перечень лиц, ответственных за реализацию мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей.
По результатам проверки юридическому лицу выдано предписание об устранении выявленных нарушений, а также рекомендовано привести локальные акты в соответствие с действующим законодательством и фактической деятельностью по обработке персональных данных.
Адрес статьи: http://40.rkn.gov.ru/news/news125940.htm